Vlákno názorů k článku Postřehy z bezpečnosti: SS7 zranitelnosti zneužity k vykradení bankovních účtů od Petr - Tady https://www.lupa.cz/clanky/elysia-howell-n26-banka-nepotrebuje-pobocky-vse-resime-pres-mobilni-aplikaci/nazory/ jsme se o tom SS7 bavili,...

Tady https://www.lupa.cz/clanky/elysia-howell-n26-banka-nepotrebuje-pobocky-vse-resime-pres-mobilni-aplikaci/nazory/ jsme se o tom SS7 bavili, pak už jsem neměl sílu reagovat na ty nesmysly, že by někomu museli napadnout hloupý mobil kvůli získání potvrzovací sms atd. Netrvalo to dlouho a máme útok přes SS7 v praxi.

Z článku nevyplývá, že napadli hloupý mobil, ale chytrý mobil hloupého uživatele, který si sám musí nainstalovat malware z neznámého zdroje na základě nějakého emailu. Tedy bez aktivní účasti onoho uživatele se útok nekoná.

presne to jsem myslel - nedokazu si predstavit krkolomne nabouravani do dvou nezavislych (a uzavrenych) SS7 siti zaroven - do bankovni a do site operatora
nejjednodussi je: cosi dostat do 'chytreho' mobilu (s povolenim hloupeho uzivatele) ... a pak je to uz neskutecne easy: pockat si, az otevre mobilni bankovnictvi, podhodit dalsi platbu, odchytit smsku, co prijde a dokoncit platbu.
chapu, ze je mozne odchytit smsku, chapu ze je mozne odchytit komunikaci rpes browser, ale oba zaroven na dvou ruznych zarizeni?
mozna jako cileny utok zpravodajske organizace ...

Tady šlo o to, jestli je bezpečnější mobilní bankovnictví jako aplikace nebo browser/SMS. A mobilní app opravdu nepoužívá na potvrzení SMS, ale normálně šifrovaně komunikuje jako třeba Signal. Jestli vám přijde jednoduché podhodit zprávu do Signalu, tak nechápu, co tu ještě děláte, v NSA a jinde vás zaplatí zlatem.

přesně tak to vidím - jako reklamu na směrnici EU co bankám nařídí autentizaci otiskem prstu - a ta už existuje. Nějak těch X desítek milionů otisků získat musí, ne?

Blbost. Otisk prstu je jedna z možností, ale nikdo nenařizuje implementovat zrovna tu.

Však ano, to že by museli napadnou mobil v diskuzi psal někdo jiný a on že má mobil hloupý, takže ten napadnout nejde a tudíž je v bezpečí. Což je nesmysl, protože SMS nikdo nebude tahat z koncového zařízení, takže je úplně jedno, jak je chytré a co se na něj dá podstrčit, SMS si ukradnou po cestě.
A z článku nevyplývá ani že napadli chytrý mobil, mnohem jednodušší a pravděpodobnější je, že napadli desktop (Windows) a to je přesně to, co v diskuzi psali, že sice mají možná napadnutelný desktop a možná by se nějak dala získat SMS, ale nedá se získat obojí, takže jsou v klidu. No už asi nejsou.

Reknemez, se ovladam tvuj stroj, tzn muzu si do banky zadat prikaz. Reknemez, ze umim odchytit sms, takze si ho muzu potvrdit. Jenze v takovym pripade uz neumim zamezit tomu, aby se ti ta sms zobrazila => ty vidis, ze probehla platba na nejakej cizi ucet (pokud delas co mas). A neni nic primitivnejsiho nez tu platbu obratem stornovat.

A apropos, zjevne si naprosto nepochopil k cemu ta sms je, pokud ovladam tvuj telefon s tvoji bankovni aplikaci, tak si muzes sifrovat co chces, ja uz nic jinyho nepotrebuju. Je totiz nasobne jednodussi napadnout tvuj telefon (dokonce mnohem jednodussi nez widle).

Uz jen to, ze guugl naucil pekne svy ovecky odklipat a potvrdit aplikaci vsechny pozadovany opravneni, protoze jinak to nebude fungovat ... takze trebas "youtube appka" vyzaduje pristup k telefonimu seznamu, sms, ...